前端跨子域通讯核心方案与避坑实践

子窗口（child.example.com）：

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>子窗口</title></head>
<body>
<script>
// 必须与父窗口一致
document.domain = 'example.com';

// 访问父窗口数据
console.log(window.parent.parentData);

// 发送消息
window.parent.postMessage('子窗口已收到', 'http://parent.example.com');
</script>
</body>
</html>

避坑点：

• domain 只能向上设置（子域→主域），不能反向。
• 双方必须同时修改，否则无效。
• 不支持端口不同的情况（端口属于同源策略一部分）。

方案 2：postMessage（最通用）

适用场景：复杂数据传递、方法调用、状态同步。

原理：HTML5 新增方法，允许不同源窗口发送消息，不受主域限制，是目前主流方案。

代码示例：

商品页（goods.example.com）监听支付页回调：

// 暴露给支付页调用的方法
window.updateOrderStatus = (orderId, status) => {
    console.log(`订单 ${orderId} 状态更新为：${status}`);
};

// 监听消息
window.addEventListener('message', (e) => {
    // 严格校验来源
    if (!e.origin.endsWith('.example.com')) return;
    const { type, data } = e.data;
    
    switch (type) {
        case 'paySuccess':
            window.updateOrderStatus(data.orderId, '已支付');
            break;
        case 'payFailed':
            console.log(`订单 ${data.orderId} 支付失败`);
            break;
    }
});

支付页（pay.example.com）发送消息：

const payResult = { type: 'paySuccess', data: { orderId: 'order_123' } };
// 指定目标源，禁止使用 *，提升安全性
window.parent.postMessage(payResult, 'http://goods.example.com');

最佳实践：

• 来源校验必须严格：禁止使用 * 作为第二个参数，应精确到具体域名或校验后缀。
• 消息格式标准化：统一 { type, data } 结构，便于维护。
• 避免过度使用：异步通讯频繁发送大量消息会影响性能，适合按需通讯。

方案 3：共享主域 Cookie

适用场景：登录态共享、少量状态信息同步。

原理：Cookie 的 domain 属性设置为主域时，所有子域均可读写该 Cookie。

代码示例：

后端设置主域 Cookie（Node.js + Express）：

app.get('/login', (req, res) => {
    res.cookie('token', 'user_login_token_123', {
        domain: 'example.com', // 主域，所有子域可访问
        path: '/',
        httpOnly: true, // 禁止前端读取，防 XSS
        maxAge: 24 * 60 * 60 * 1000
    });
    res.send('登录成功');
});

前端子域读取：

function getCookie(name) {
    const cookies = document.cookie.split('; ');
    for (const cookie of cookies) {
        const [key, value] = cookie.split('=');
        if (key === name) return decodeURIComponent(value);
    }
    return '';
}

const token = getCookie('token');
if (token) {
    console.log('用户已登录');
} else {
    window.location.href = 'http://login.example.com';
}

安全建议：

• 敏感信息（如 token）需设置 httpOnly: true。
• 开启 secure: true（仅在 HTTPS 下生效）。
• Cookie 容量有限（约 4KB），不适合存大量数据。

方案 4：LocalStorage + iframe 代理

适用场景：大量数据共享（如用户偏好、页面配置）。

原理：通过主域代理 iframe 操作 LocalStorage，子域通过 postMessage 请求代理，实现跨子域共享。

核心逻辑：

1. 主域创建隐藏 iframe 监听消息。
2. 子域向 iframe 发送读写请求。
3. iframe 操作 LocalStorage 并返回结果。

优缺点：

• 优点：容量大（约 5MB），不受 Cookie 限制。
• 缺点：实现复杂，异步通讯，依赖代理 iframe 稳定性。

三、生产环境选型建议

四、最佳实践与避坑汇总

1. 安全性

• 来源校验：所有跨子域通讯（postMessage、代理 iframe）必须验证消息来源，禁止接收未知消息。
• 敏感数据加密：传递 token 等信息时需先加密，避免明文传输。
• Cookie 配置：敏感 Cookie 必须设置 httpOnly、secure、SameSite: Strict。

2. 性能优化

• 减少频率：避免频繁发送 postMessage，可批量处理数据。
• 懒加载：iframe 通讯可延迟加载，提升首屏速度。

3. 兼容性

• postMessage：支持 IE8+ 及现代浏览器。
• LocalStorage：IE8+ 支持，但旧版本存在兼容性问题，需谨慎使用。